Киберпреступники продолжают испытывать на прочность Microsoft Windows, а наши защитные технологии столь же упорно продолжают выявлять их попытки и предотвращать эксплуатацию уязвимостей. Это не первый и даже не второй случай за последний квартал. На этот раз наши системы выявили попытку эксплуатации уязвимости в диспетчере транзакций ядра Windows (Kernel Transaction Manager).
Новый эксплойт нулевого дня применялся против нескольких целей в Азиатском и Ближневосточном регионах. Уязвимость CVE-2018-8611, которую он пытался использовать, допускала повышение привилегий из-за того, что ядро системы не всегда корректно обрабатывало объекты в памяти. В результате это позволяло злоумышленникам запускать произвольный код в привилегированном режиме.
На практике это значит, что злоумышленники могли устанавливать программы, просматривать и изменять данные и даже создавать новые учетные записи. По словам наших экспертов, этот эксплойт также мог использоваться для обхода режима песочницы в современных версиях браузеров, в том числе последних версий Chrome и Edge. Технические детали можно найти в статье на сайте Securelist. Более подробная информация о самой уязвимости CVE-2018-8611, а также о группах, которые пытались ее эксплуатировать, доступна для клиентов сервиса Kaspersky Intelligence Reports.
Наши эксперты сообщили о найденной уязвимости разработчикам, и компания Microsoft на днях выпустила патч, который исправляет эту проблему.
Что с этим делать
И вновь мы вынуждены повторить стандартные советы про уязвимости.
- Не стоит чувствовать себя в безопасности только потому, что у атаки было не много целей. После публикации этой уязвимостью могут воспользоваться и другие злоумышленники, так что следует незамедлительно установить патч.
- Регулярно обновляйте все программное обеспечение, используемое в вашей компании.
- Используйте защитные продукты с функциями автоматического поиска уязвимостей и управления патчами, чтобы упростить процесс обновления.
- Пользуйтесь защитным решением, имеющим надежные технологии поведенческого анализа, которые позволят обезопасить систему даже от пока неизвестных угроз, таких как уязвимости нулевого дня.
Заметьте, до тех пор, пока наши технологии не обнаружили попытку эксплуатации, об этой уязвимости никто не знал. Так что мы можем порекомендовать конкретные продукты, которые позволят защититься от угроз такого типа. Во-первых, это решение для защиты от целевых атак — Kaspersky Anti Targeted Attack Platform с его технологией Advanced Sandboxing. Во-вторых, решение Kaspersky Endpoint Security для бизнеса, которое имеет технологию автоматической защиты от эксплойтов. Именно благодаря им уязвимость CVE-2018-8611 и была обнаружена.